示例：Web配置华为USG防火墙

组网拓扑

云下华为USG为用户的出口防火墙，通过该设备配置VPN与华为云VPC连通，两端的子网信息和连接方式如图1所示。

图1 拓扑连接

用户侧信息：

• 网关：1.1.1.1。
• 子网：192.168.1.0/24。

华为云侧信息：

• 网关：1.1.1.2。
• 子网：192.168.2.0/24。

华为云端的VPN连接资源策略配置按照缺省信息配置，详见图2。

图2 策略配置

配置步骤

1. IPsec基础配置

   登录防火墙管理页面，选择“网络 ＞ IPsec”，新建IPsec连接，详情如图4所示。

   图3 新建IPsec连接1
   
   图4 新建IPsec连接2
   

   表1 新建IPsec参数设置

   参数名称	说明
   虚拟系统	选择默认即可。
   策略名称	客户自行指定。
   本端接口	配置对接本端公网IP的接口。
   本端地址	本端公网IP。
   对端地址	对端公网IP。
   认证方式	预共享密钥。
   本端ID与对端ID	IP地址，并填入对应的公网IP。
   待加密数据流	源地址为云下子网，目标地址为云上子网，请勿使用地址组名称配置。
   安全提议	按照华为云策略配置，要求两端配置信息一致。
   DPD	勾选DPD，选择按需发送，配置信息默认即可。

2. 路由配置

   选择“网络 ＞ 路由 ＞ 静态路由”，新建一条目的为华为云子网的静态路由，下一跳指向本地出接口网关IP。

   图5 新建静态路由
   

   表2 新建静态路由参数设置

   参数名称	说明
   协议类型	IPv4。
   源虚拟路由器	选择默认的“public”。
   目的地址/掩码	云端子网地址。
   目的虚拟路由器	选择默认的“public”。
   出接口	本端公网IP配置的接口。
   下一跳	本端公网地址下一跳。

   

   其余配置默认即可，存在多出口时，需额外添加访问云端公网IP从此出接口流出的路由。

3. NAT配置

   选择“策略 ＞ NAT策略 ＞ 源NAT”，新建一条本地子网访问华为云不做NAT转换的策略。

   图6 新建源NAT策略
   

   表3 新建源NAT策略参数设置

   参数名称	说明
   源安全区域	本端子网所在安全区域。
   目的区域	华为云子网所在安全区域，一般为untrust。
   源地址	本端子网。
   目的地址	华为云对端子网。
   服务	any
   转换方式	不做NAT转换

   

   • 为确保该策略优先匹配，请将该策略置顶。
   • 请注意接口地址出外网不做NAT转换。

     例如已配置缺省策略：源区域为any，访问目标区域any，出口转换为接口地址。请额外添加一条NAT策略：源区域为local，目标区域为any，转换方式为不做NAT转换，并将该策略置于缺省策略之上。

4. 安全策略配置

   选择“策略 ＞ 安全策略 ＞ 安全策略”，新建一条本地子网访问华为云的放行策略。

   图7 安全策略
   

   表4 新建策略参数设置

   参数名称	说明
   源安全区域	本端子网所在区域。
   源安全区域	本端子网所在安全区域。
   目的区域	华为云子网所在安全区域，一般为untrust。
   源地址	本端子网。
   目的地址	华为云对端子网。
   服务	any。
   动作	允许

   

   为确保该策略优先匹配，请将该策略置顶。

配置验证

完成配置后，请选择“网络 ＞ IPsec ＞ IPsec”，单击对应策略列的“诊断”，发起连接协商。

连接状态详细在“IPsec-监控”中查看，诊断示意如图8所示。

图8 IPsec诊断